Мәжіліс дербес деректердің таралып кеткені туралы хабарлама рәсімін мақұлдады

Уәкілетті органның хабарламасы

2022 жылғы 4 мамырда Қазақстан Республикасы Парламенті Мәжілісінің депутаттары жалпы мәжілісте «Қазақстан Республикасының кейбір заңнамалық актілеріне инновацияларды ынталандыру, цифрландыруды дамыту және ақпараттық қауіпсіздік мәселелері бойынша өзгерістер мен толықтырулар енгізу туралы» заң жобасын (бұдан әрі — «заң жобасы») бірінші оқылымда мақұлдады.

2022 жылғы 22 және 28 сәуірде депутат Е. В. Смышляеваның төрағалығымен заң жобасы бойынша жұмыс тобының отырыстары өтті, оған шақырылған сарапшылар ретінде Еуразиялық цифрлық қордың директоры Руслан Дайырбеков және «Digital Paradigm» қоғамдық қорының директоры Елжан Қабышев қатысты.

Жұмыс тобының мәжілісі

Қазіргі уақытта дербес деректердің таралып кетуі кезінде осындай таралудың салдарын барынша азайту үшін қажетті жедел ден қою мәселелері заңнамалық тұрғыдан реттелмегендіктен, сондай-ақ мұндай жағдайларда кешенді жұмыс жүргізудің маңыздылығын түсіне отырып, заң жобасының авторлары меншік иесі және (немесе) оператор үшін уәкілетті органды хабардар ету бойынша міндеттемелер белгілеуді ұсынды.

Заң жобасын талқылау аясында Қазақстан Республикасы цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігі Ақпараттық қауіпсіздік комитетінің (АҚК) дербес деректерді қорғау Басқармасы (ЦДИАӨМ) «Дербес деректер және оларды қорғау туралы» 2013 жылғы 21 мамырдағы Қазақстан Республикасы Заңының 25-бабына келесі редакцияда толықтыру бастамасын көтерді:

«11) екі жұмыс күні ішінде уәкілетті органды дербес деректерді өңдеуді ұйымдастыруға жауапты тұлғаның байланыс деректерін көрсете отырып, дербес деректердің таралып кетуі туралы хабардар етуге міндетті.»

Өз кезегінде, Еуразиялық цифрлық қор мен Digital Paradigm сарапшылары жоғарыда аталған новелланы тұжырымдамалық тұрғыдан қолдай отырып, заң шығарушылардың назарын 33-ші бабына аудартты, GDPR (Еуропалық Одақтың дербес деректерді қорғау жөніндегі жалпы регламенті) «Дербес деректер қауіпсіздігінің бұзылғаны туралы қадағалау органының хабарламасы» дербес деректерді өңдеу жөніндегі меншік иесі мен оператордың талабын бекіту қажеттілігі бөлігінде — «деректер қауіпсіздігінің кез келген бұзылуын, оның ішінде олардың жағдайларын, салдарын және жағдайды түзету үшін қабылданған шараларды құжаттау»

Жоғарыда көрсетілген GDPR бабына сәйкес уәкілетті органның хабарламасы ең аз дегенде:

  1. дербес деректер қауіпсіздігінің бұзылу сипатын сипаттау, оның ішінде мүмкіндігінше зардап шеккен деректер субъектілерінің санаттары мен шамамен алынған санын, сондай-ақ зардап шеккен Дербес деректер жазбаларының санаттары мен шамамен алынған санын көрсету;
  2. толығырақ ақпарат алуға болатын жеке деректерді қорғау инспекторының немесе басқа байланыс тұлғасының аты-жөні мен байланыс деректері болуы керек;
  3. жеке деректер қауіпсіздігін бұзудың ықтимал салдарын сипаттау;
  4. жеке деректер қауіпсіздігінің бұзылуын жою үшін контроллер қабылдаған немесе ұсынған шараларды, оның ішінде егер қажет болса, оның ықтимал теріс салдарын азайтуға бағытталған шараларды сипаттау керек.

Ұлттық тұжырымдамалық аппаратта «таралып кету» анықтамасы жоқ болғандықтан, депутаттар бұл норманы түзетуге қайтарды. Жұмыс тобының келесі отырысында тиісті мемлекеттік органдармен келісілгеннен кейін депутаттарға талқылауға 25-бапқа толықтырудың пысықталған редакциясын ұсынды, онда «таралып кету» сөзі «дербес деректерді қорғауды бұзу» деген сөзбен ауыстырылды, келесі редакциядағыдай:

«11) екі жұмыс күні ішінде уәкілетті органды дербес деректерді қорғаудың анықталған бұзушылықтары туралы дербес деректерді өңдеуді ұйымдастыруға жауапты адамның байланыс деректерін көрсете отырып хабардар етуге міндетті.»

Алайда сарапшылар 2013 жылғы 21 мамырдағы «Дербес деректер және оларды қорғау туралы» ҚР Заңының 1-бабының 11)-тармағына назар аударды, ол«дербес деректерді қорғауды осы Заңда белгіленген мақсаттарда жүзеге асырылатын шаралар, оның ішінде құқықтық, ұйымдастырушылық және техникалық шаралар кешені ретінде» айқындайды. Осылайша, ұсынылған редакцияның мағынасына сәйкес жоғарыда көрсетілген шаралардың кез келген бұзылуы уәкілетті органды хабардар етуді көздейді, бұл ауыртпалық түсіретін және артық шара болып табылады.

Осыған байланысты сарапшылар АҚК ЦДИАӨМ дербес деректерді қорғау басқармасы ұсынған «таралып кету» анықтамасын қолдады, атап айтқанда:

«дербес деректердің таралып кетуі-дербес деректерді кездейсоқ немесе заңсыз таратуға, өзгертуге , толықтыруға, пайдалануға, иесіздендіруге, бұғаттауға және жоюға немесе оларға қол жеткізуге әкеп соғатын Дербес деректер қауіпсіздігінің бұзылуы».

Дербес деректер және оларды қорғау туралы заңнаманың сақталуын мемлекеттік бақылау өкілеттіктерін беру

Бүгінгі таңда дербес деректерді қорғау жөніндегі уәкілетті органда дербес деректерді жинау және өңдеу заңдылығын тексеруді бастау мүмкіндігі болмағандықтан, депутат Е. В. Смышляева ҚР ЦДИАӨМ-не өкілеттік беретін ҚР Кәсіпкерлік Кодекске сәйкес дербес деректер және оларды қорғау туралы ҚР заңнамасының сақталуына мемлекеттік бақылауды жүзеге асыру бойынша түзету енгізуін ұсынды.

ҚР ЦДИАӨМ АҚК өтініштер мен шағымдар кезінде және жасалған құқық бұзушылықтар бойынша ғана шаралар қабылдауға құқылы: егер жеке деректер үшінші тұлғаларға заңсыз түскен кезде, белгісіз адамдар тобына таратылған болса және т.б. жағдайда.

Сонымен қатар, осы уақытқа дейін прокуратура органдары ҚР ӘҚБтК-нің 79-бабына сәйкес ҚР Дербес деректер және оларды қорғау туралы заңнамасын бұзған кезде құқық бұзушыларды жауапкершілікке тартқан, сондай-ақ осы уақытқа дейін осы салада қадағалауды жүзеге асыруда.

Бұл ретте прокуратура органдары үшін ҚР Кәсіпкерлік кодексінде жоспардан тыс тексерулер жүргізу үшін мемлекеттік бақылау функциясының болуы талап етілмейді, өз кезегінде мемлекеттік бақылаудың мұндай функциясы уәкілетті орган үшін қажет (ЦДИАӨБ АҚК).

Бұл шара азаматтардың дербес деректерін заңсыз жинауға, оларды мәлімделмеген және коммерциялық мақсаттарда пайдалануға жол бермеу, сондай-ақ ақпараттандыру туралы, дербес деректер және оларды қорғау туралы заңнамада көзделген бұзушылықтардың болмауы үшін қажет.

Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрі Бағдат Мусиннің айтуынша, заң жобасының арқасында:

жетекшілік ететін салаларға кешенді талдау жүргізу, мемлекеттік базалардағы деректерді өзектендіру, онлайн режимінде негізделген және тиімді басқару шешімдерін қабылдау мүмкіндігі пайда болады. Сонымен қатар, дербес деректерді қорғауды қамтамасыз ету үшін ақпараттық-коммуникациялық технологияларды қолдануға қойылатын талаптар күшейтілетін болады. Ол үшін заң жобасында дербес деректерді жинауды, өңдеуді және сақтауды жүзеге асыратын ақпараттық жүйелерді ақпараттық-коммуникациялық инфрақұрылымның аса маңызды объектілері деп тану және олардың қорғалуына қойылатын талаптарды арттыру ұсынылады.

Осы толықтырудың авторы Е. В. Смышляева салыстырмалы кестеде ҚР ӘҚБтК-нің 79-бабы бойынша прокуратура органдары дербес деректерді қорғау саласындағы уәкілетті органды айқындағанға дейін 2016 жылдан бастап 2018 жылға дейін 0 әкімшілік іс және 2019 жылы 3 әкімшілік іс қаралғандығын түзету қажеттілігін негіздеді. Сонымен қатар, ЦДИАӨМ анықталған сәттен бастап (2020 жылғы маусым) дербес деректерді қорғау саласындағы уәкілетті орган осы уақытқа дейін дербес деректер субъектілерінің, яғни азаматтардың 210-нан астам шағымын қарады (дербес деректерді adata.kz, fa-fa.kz, kompra.kz сияқты жалпыға қолжетімді интернет-ресурстармен жариялау, мессенджерлердің әртүрлі топтарында дербес деректерді заңсыз тарату және олардың субъектілерінің келісімінсіз және олардың жинау мақсаттарына сәйкес келмейтін дербес деректерді пайдалану және т.б.), оның 157-і қанағаттандырылды.

Алайда заңнамада қарама-қайшылықтардың болуына және дербес деректерді қорғау саласында мемлекеттік бақылау функциясының болмауына байланысты 50-ден астам шағым қанағаттандырылмай қалды.

Eurasian Digital Foundation — Исследования в области цифровых прав

Image from Adobe Stock

Руслан Дайырбеков

Eurasian Digital Foundation негізін қалаушы, Digital Rights Center Kazakhstan директоры, Data Privacy Professional (GDPR DPP) цифрлы құқықтар жөніндегі Сарапшылар тобының мүшесі